Win7 SP1 x64 非KB3125574集成补丁方案（IE8.0+IE11）by 2024.10.08 ESU

wu733

我喜闻乐见论坛目前出现的百花齐放、百家争鸣的繁荣景象，也感谢各位大佬前辈一直以来，不分昼夜地辛勤付出，为我及大家分享了各种软件精品、PE精品、技术创新及宝贵经验。我也不敢藏私，现将我精心准备的Win7 SP1集成补丁方案（IE8.0+IE11）by 2024.10.08永久分享给大家（仅补丁方案，大家自己下载的补丁才是最放心的），也请大家验证并提出宝贵意见。

2024年10月08日月度汇总KB5044356官载取代了43个补丁（相比KB4534310取代的133个反而变少了...），详情见如下链接中的Package Details列表：
https://www.catalog.update.micro ...74db#PackageDetails
从2021年3月9日月度汇总KB5000841的Package Details取代列表的144个以后，这个数字从78-40越变越少，故建议以KB5000841官载取代的144个为基础展开研究。

2024年10月08日月度汇总KB5044356对于IE11方案来说，推送取代了以下20+5个补丁（IE8.0方案不推送KB2888049）：
其中5个原疑似少推送的补丁是我用推送取代的方法推导得到的，也恰好证明推送取代的方法是正确的，现将准确的日期补上
重要更新：
KB2491683   2011年02月15日远程漏洞（原疑似少推送的补丁，最早被2020年09月08日月度汇总KB4577051官载取代）
KB2506212   2011年03月12日远程漏洞（原疑似少推送的补丁，最早被2020年06月09日月度汇总KB4561643官载取代）
KB2532531   2011年04月29日蓝牙栈驱动远程代码执行漏洞  KB4534310就已推送取代，再早不详
KB2579686   2011年08月18日远程漏洞  KB5022338就已推送取代，再早不详
KB2620704   2011年10月01日远程漏洞（原疑似少推送的补丁，最早被2020年07月14日月度汇总KB4565524官载取代）
KB2621440   2012年02月18日远程漏洞  KB5022338就已推送取代，再早不详
KB2690533   2012年03月21日本地漏洞（最早被2024年04月09日月度汇总KB5036967推送取代）
KB2705219   2012年09月12日更正Windows Print Spooler及Windows网络组件处理远程管理协议(RAP)响应方式  KB5022338就已推送取代，再早不详
KB2893294   2013年10月21日远程漏洞  推送取代KB2653956  KB5022338就已推送取代，再早不详
KB2984976   2014年08月30日受限管理的 RDP 8.0 更新 10  KB4534310就已推送取代，再早不详
KB2977292   2014年09月04日支持使用TLS的Microsoft EAP更新（最早被2024年04月09日月度汇总KB5036967推送取代）
KB3011780   2014年11月13日域特权提升漏洞（原疑似少推送的补丁，最早被2021年02月09日月度汇总KB4601347官载取代）
KB3021674   2014年12月20日Windows用户配置服务漏洞（原疑似少推送的补丁，最早被2020年02月11日月度汇总KB4537820官载取代）
KB3060716   2015年07月16日特权提升漏洞  KB5022338就已推送取代，再早不详
KB3092601   2015年10月14日特权提升漏洞  KB4534310就已推送取代，再早不详
KB3101722   2015年10月13日特权提升漏洞  KB4534310就已推送取代，再早不详
KB3109103   2015年11月06日PGM特权提升漏洞（最早被2024年03月12日月度汇总KB5035888推送取代）▲
KB3115858   2016年01月08日日记本安全更新  KB5022338就已推送取代，再早不详
KB3139398   2016年02月05日USB大容量存储驱动特权提升漏洞  KB5022338就已推送取代，再早不详
KB3150220   2016年04月22日Windows Media Center安全更新 20  KB5022338就已推送取代，再早不详
可选更新：
KB2719857   2012年08月23日USB RNDIS设备连接更新（最早被2024年04月09日月度汇总KB5036967推送取代）
KB2726535   2012年12月04日增加南苏丹国家/地区列表（最早被2024年07月09日月度汇总KB5040497推送取代）▲
KB2853952   2013年08月07日虚拟硬盘不一致  KB5022338就已推送取代，再早不详
KB2888049   2013年09月14日用于提高IE11在Windows中的网络性能  KB4534310就已推送取代，再早不详
KB3138378   2016年03月11日Journal.dll二进制更新（包含了InkDiv.dll、InkEd.dll、InkObj.dll、journal.dll、rtscom.dll五个文件更新），非日记本更新，实际为Microsoft Tablet PC 组件更新，它移除冗余代码以提升稳定性（与日记本核心功能无关）。实践证明，WPS Office365需要调用其中的InkObj.dll文件。  KB5022338就已推送取代，再早不详

新增：
一、收纳两个非安全性热修补丁KB2918833、KB2990184，其它的已验证被KB5044356文件取代或其它情况不必安装：
1、KB2752259   2012年09月04日可提高 Printbrm.exe 命令行工具性能的更新
2、KB2695321   2012年09月17日IPsec 会话需要 5 到 6 分钟才能连接到存储控制器
3、KB2727994   2012年10月04日您无法在 WebDAV 文件服务器上打开或保存 Office 2010 文档，衍生了KB3124280（2016年1月8日WebDAV安全更新）
4、KB2728738   2013年07月13日在具有漫游配置文件的计算机上登录时间较长，被KB3021674取代
5、KB2891144   2013年09月19日通过 RD 会话运行应用程序时，应用程序无法正确绘制折线，不适用Win7
6、KB2907020   2013年12月27日在 Windows 待机或恢复后访问映射的网络驱动器时，出现位置不可用错误
7、KB2918833   2014年02月06日第三方 IME 为用户提供不受保护的系统访问权限，输入法管理器Imm32.dll更新，KB3125574对Imm32.dll进行了最终更新（月度汇总未更新）
8、KB2925489   2014年02月10日您无法与某些第三方设备建立 IPsec 连接
9、KB2923766   2014年02月12日在计算机上插入显示器或打开笔记本电脑盖子时出现黑屏
0、KB2990184   2015年03月20日在Win7或 Server08 R2中，无法将符合FIPS标准的恢复密码保存到启用了BitLocker的Active Directory域服务(AD DS)，BitLocker驱动器加密组件更新，KB3125574对其中的BitLocker驱动器加密组件进行了最终更新（月度汇总未更新）
二、KB2647753   2012年09月13日修复 "图片管理器"、RDP、"日志记录" 和 "打印到网络打印机" 中的各种打印问题。未被KB5044356文件取代

三、.NET3.5.1安全更新
1、KB2868725   2013年09月26日Microsoft 安全公告用于禁用RC4的更新，是KB2898851的前置
2、KB2898851   2014年03月07日.NET3.5.1安全更新，它通过修改系统注册表来禁用传输层安全性 (TLS) 中的RC4：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SchUseStrongCrypto"=dword:00000001  ;强制使用强加密（禁用 RC4，隐含禁用弱加密）
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SchUseStrongCrypto"=dword:00000001  ;强制使用强加密（禁用 RC4，隐含禁用弱加密）
检查你的注册表，若无上述键名、键值，则说明你需要这个KB2898851，或者说KB2898851未被后续月度汇总取代。但是如果你是内网，需要用到弱加密，则不需要这个KB2898851。

四、KB3046480  2015年03月19日迁移Microsoft.NET Framework 1.1到较新版本的Windows，虽然被KB5044356文件取代，但缺少原补丁对系统的注册表写入

五、MicrosoftEasyFix51044.msi   2016年06月27日配合KB3140245使用，在相关注册表子项下添加未存在的DefaultSecureProtocols、SecureProtocols键名和键值以及修改已存在的SecureProtocols的键值；

六、KB3172605对KB3042058中的CipherSuiteOrder.adml进行了最终更新(23452版)，更正：原先的olepro32.dll已验证被月度汇总KB4534310更新到24537版，人力不足啊。月度汇总KB5044356未对这个CipherSuiteOrder.adml更新。
后经验证，KB3172605中包含了很多过时的冗余，这才是不选择KB3172605最主要的原因！！！

非KB3125574+IE11补丁方案（2024.10.08 ESU）                提取码：cnRS

非KB3125574+IE8补丁方案（2024.10.08 ESU）              提取码：TNYX


提取UpdatePack7R2-25.11.11根证书更新

其中，安装根证书更新.exe是基本要求，安装未受信任的发布者.exe则更加严格。

PS：证书文件提取自UpdatePack7R2-25.11.11，并用官方roots.sst进行了替换（UpdatePack7R2作者Simplix对roots.sst进行了精简），感谢隔壁论坛gwaijyut告知。获取官方根证书命令：
certutil.exe  -generateSSTFromWU  roots.sst

小龙飞

感谢您的分享！下载收藏啦！

bangbang0329

支持一下

wu733

去掉一个冗余补丁：
KB2581464  2011年07月16日USB2.0提速补丁       已被微软废弃，被KB3139398取代

RNM25728

辛苦了

wenyan

支持

beixing1976

感谢分享

wu733

搞错，此补丁已被月度汇总推送取代：
KB3138378   2016年03月11日Journal.dll二进制更新（包含了InkDiv.dll、InkEd.dll、InkObj.dll、journal.dll、rtscom.dll五个文件更新），非日记本更新，实际为Microsoft Tablet PC 组件更新，它移除冗余代码以提升稳定性（与日记本核心功能无关），再次感谢隔壁gwaijyut。实践证明，WPS Office需要调用其中的InkObj.dll文件。

RNM25728

支持

sharonxm

怎么下载

星游浩瀚

没有KB3125574方案么

yazhiliu

支持一下。

wu733

提供集成至2024年10月08日补丁的镜像下载，仅IE11方案（高配、低配），未精简

1、高配版177个更新，低配版174个更新；
2、集成了公文字体；
3、TSforge集火；
4、详情见Win7 SP1 x64 专业版”无精简“公司版第三版

SeaYang

感谢分享。

wu733

收纳两个补丁如下：

KB2647753   2012年09月13日修复 "图片管理器"、RDP、"日志记录" 和 "打印到网络打印机" 中的各种打印问题，虽然大部分被KB5044356文件取代，但缺少原补丁对系统的注册表写入

KB3046480   2015年03月19日迁移Microsoft.NET Framework 1.1到较新版本的Windows，虽然被KB5044356文件取代，但缺少原补丁对系统的注册表写入

加藤鹰王

支持一下

gwaijyut

关于证书的问题，最近学到一个方法，引述过来，基本上可以确保天然无污染，供各位强迫症大佬参考。
高手请绕路

Catalog检索关键字：KB3050995
程序名称：rvkroots.exe
www*microsoft*com/zh-CN/download/details.aspx?id=46394
描述：安装此更新可解决需要更新 Windows 系统上不受信任的证书存储区的问题，并使系统保持最新状态。安装本更新程序之后，可能需要重新启动系统
下载：//download.microsoft*com/download/e/5/9/e59e278c-9013-4ea7-83ea-f405b40ea499/rvkroots.exe

Catalog检索关键字：Windows 2000 证书更新程序
程序名称：rootsupd.exe
下载：//catalog.s.download.windowsupdate*com/msdownload/update/v3-19990518/cabpool/rootsupd_fe44934fd80dd11fec2f0f9b24431658a4f6d589.exe

步骤：
1、新建文件夹，例如；
        mkdir d:\UpdRoots
2、解压rvkroots.exe、rootsupd.exe，将解压后的文件合并到d:\UpdRoots；
        由于Server2003的文件较新，重复文件保留Server2003版本(rvkroots.exe)
       
3、得到以下文件列表：
        authroots.sst
        delroots.sst
        disallowedcert.sst
        roots.sst
        updroots.sst       
        rootsupd.inf
        rvkroots.inf       
        updroots.exe       
        ADVPACK.DLL
        W95INF16.DLL
        W95INF32.DLL
       
4、W95INF16.DLL、W95INF32.DLL是Windows95-98-me时代的产物，可以删除。完成清理后，文件列表如下：
        authroots.sst
        delroots.sst
        disallowedcert.sst
        roots.sst
        updroots.sst
        rootsupd.inf
        rvkroots.inf
        updroots.exe
        ADVPACK.DLL
       
5、使用以下地址，更新sst文件(更新频率，2-3个月)：
        www*download.windowsupdate*com/msdownload/update/v3/static/trustedr/en/authroots.sst
        www*download.windowsupdate*com/msdownload/update/v3/static/trustedr/en/delroots.sst
        www*download.windowsupdate*com/msdownload/update/v3/static/trustedr/en/disallowedcert.sst
        www*download.windowsupdate*com/msdownload/update/v3/static/trustedr/en/roots.sst
        www*download.windowsupdate*com/msdownload/update/v3/static/trustedr/en/updroots.sst
       
6、修改安装信息(rootsupd.inf、rvkroots.inf)：
        ·rootsupd.inf --> 第34行，VERSION修改为"41,0,2195,0"；第35行，Ver修改为"041"
        ·rvkroots.inf --> 第31行，VERSION修改为"5,0,2195,0"；第32行，Ver修改为"005"
       
7、至此全部完成。

注：
        @heinoganda在MSFN论坛发布了此方法(msfn***org/board/topic/175170-root-certificates-and-revoked-certificates-for-windows-xp/)

wu733

2024年10月08日月度汇总KB5044356推送取代已做详细标注，希望帮助到大家

wu733

2024年10月08日月度汇总KB5044356对于IE11方案来说，推送取代了以下20+5个补丁（IE8.0方案不推送KB2888049）：

其中5个原疑似少推送的补丁是我用推送取代的方法推导得到的，也恰好证明推送取代的方法是正确的，现将准确的日期补上
重要更新：
KB2491683   2011年02月15日远程漏洞（原疑似少推送的补丁，最早被2020年09月08日月度汇总KB4577051官载取代）
KB2506212   2011年03月12日远程漏洞（原疑似少推送的补丁，最早被2020年06月09日月度汇总KB4561643官载取代）
KB2620704   2011年10月01日远程漏洞（原疑似少推送的补丁，最早被2020年07月14日月度汇总KB4565524官载取代）
KB3011780   2014年11月13日域特权提升漏洞（原疑似少推送的补丁，最早被2021年02月09日月度汇总KB4601347官载取代）
KB3021674   2014年12月20日Windows用户配置服务漏洞（原疑似少推送的补丁，最早被2020年02月11日月度汇总KB4537820官载取代）

wu733

已验证KB2882822、KB3046480被KB5044356文件取代，补丁方案不再收纳

wu733

收纳两个非安全性热修补丁KB2918833、KB2990184，其它的已验证被KB5044356文件取代

wu733

恢复提供补丁方案

ryuu

分享页面不存在

wu733

声明：

由于BypassESU-vX采用的代理路线跟最新的ESU方案不一致，所以2023年1月10日以后，且Bypass后的WU的推送是假的，这时就不要开WU了，只能采用UpdatePack7R2去处理。也由于我未能及时发现其中的奥秘，导致了错误的推导，请大家原谅！！！补丁方案不再提供.......

半夏微凉

感谢分享。支持一下

ttff2005

楼主辛苦啦！！！！感谢大大的好作品！！！

蓦小尘

wu733 发表于 2025-2-12 13:04
我再对离线集成和非离线集成补充解释一下：
一、离线集成相比非离线集成（封装）要复杂的多，里面很多坑 ...

哦，明白了，怪不得用NTLite离线镜像，有些补丁打了还推，有些打了再看，没打上继续推。离线集成就只是让镜像把这些个补丁揣着，非离线才是让系统消化掉这些个补丁。
感谢解惑！୧꒰•̀ᴗ•́꒱୨

蓦小尘

lanrsgwaijyut 发表于 2025-2-12 00:11
哈哈，我来抢答，先给你的问题添加编号
"1、KB3125574方案和非KB3125574方案，前者简化补丁集成，后者灵 ...

感谢解惑！୧꒰•̀ᴗ•́꒱୨

wu733

蓦小尘 发表于 2025-2-11 22:46
感谢解惑，对于楼主提到的几个方案，可以这么理解他们的区别吗？
KB3125574方案和非KB3125574方案，前者简 ...

我再对离线集成和非离线集成补充解释一下：
一、离线集成相比非离线集成（封装）要复杂的多，里面很多坑，而且很多程序比如.NET4.8需要采用第三方工具来集成，所有补丁不能整体上按照时间戳顺序来集成。
二、离线集成的补丁是“安装挂起”状态，非离线集成（封装）的补丁则是“已安装”或“已固化”状态。

wu733

由于BypassESU-v12采用的代理路线跟ESU方案不一致，故WU推送的KB2631813、KB2676562、KB2813347、KB3123479、KB2973351、KB3003743、KB3011780、KB3060716、KB3080079九个补丁最好还是判断为冗余，补丁方案中不再收纳。